521_第二十章__安全扫描技术.pptVIP

第二十章 安全扫描技术 黑客攻击过程有多个阶段，多种技术，但没 有一个统一的定式。 黑客攻击技术本身发展很快，今天可行的技 术可能明天就过时了。 黑客攻击技术的过时主要是因为相应的黑客 防御技术发展也很快。 扫描技术是一种很重要的攻击和防御技术。 黑客防御技术 1）加密/散列/签名技术（理论基础） 2）主机加固技术（打补丁） 3）病毒防护技术（广义病毒） 4）防火墙技术（门卫/被动/进出） 5）虚拟专用网技术（端-端/密码技术） 6）入侵检测技术（警察/动态/内部） 7）蜜罐技术（主动/位置/误报少） 返回 黑客攻击技术 1）隐藏攻击者地址和身份技术 2）踩点技术 3）扫描技术 4）嗅探技术（共享网/交换网） 5）攻击技术（正式攻击） 6）权限提升技术 7）痕迹清除和留置后门技术 8）特洛伊木马/蠕虫/病毒 返回 1）隐藏攻击者地址和身份技术 ? IP地址欺骗或盗用技术 ? MAC地址盗用技术 ? 通过Proxy隐藏技术 ? 网络地址转换（NAT）技术 ? 盗用他人网络帐户技术 返回 2）踩点技术 ? 目标系统的用户注册信息——Whois ? 域名、IP地址、DNS服务器、邮件服务器——nslookup ? 网络拓扑和路由信息——traceroute 获取公开的信息；采用的技术合法； 说者无心，听者有意 返回 3）扫描技术 ? 主机扫描（合法的Ping，查看目标主机是否存活） ? 端口扫描（恶意地用专门软件，如Nmap） ? 操作系统探测（协议栈指纹鉴别） ? 查点（有时作为一个独立阶段） 返回 端口扫描——TCP三次握手 　 SYN包,C的序列号 Client 　 SYN+ACK包,S序列号,C应答号　Server 　 ACK包,S的应答号 ? 源端口(1024高端口) 　? 目的端口(1024熟知 ? 源IP地址(寻址只关心 端口，表明Server上 目的IP，不认证源IP地 提供的服务) 址，可能是“假”地址) ? 目的IP地址 注意TCP头部的六个标志位的作用： SYN/ACK/RST/FIN/PSH/URG 端口扫描分析比较表（1） 端口扫描分析比较表（2） 端口扫描分析比较表（3） 端口扫描策略（1） 1）随机端口扫描（Random Port Scan） 许多商业IDS和防火墙会搜寻顺序的连接尝试，一旦找到就报告存在端口扫描攻击。随机端口扫描可能躲避它们的检测。 2）慢扫描（Slow Scan） IDS可以确定某个特定的IP是否正在扫描被保护的网络。这通常根据分析某段时间内的网络通信量来实现。很多入侵者非常有耐心，扫描可持续很久。 端口扫描策略（2） 3）分片扫描（Fragmentation Scanning） 在TCP协议中，8个字节的数据（最小分片长度）只能用来包含源和目的端口号，TCP协议的标志字段被放到第二个分片当中。 由于过滤设备在第一个分组中无法测试SYN=1和ACK=0标志位，因此可能无法正确处理连接请求，而且可能继续忽略后续其他分片包，从而绕过这些过滤设备。 端口扫描策略（3） 4）诱骗（Decoy） 某些网络扫描器还包含选项用于诱骗或者伪造假地址，使得IDS认为有很多主机在扫描被保护网络，要确定真正的攻击者几乎不可能。 一种解决方法是利用TTL字段。如果所有进入分组的TTL值相同，可认为它们